Incydenty10 min czytania

Atak wiper na polską energetykę w grudniu 2025 — lekcje dla sektora pod KSC

Przebieg incydentu

Pod koniec grudnia 2025 r. polski sektor energetyki odnawialnej stał się celem skoordynowanego ataku destrukcyjnego. Zgodnie ze Sprawozdaniem Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2025 r., adwersarze wykorzystali oprogramowanie typu wiper — mające na celu nieodwracalne zniszczenie danych — do ataku na ponad 30 farm wiatrowych i fotowoltaicznych oraz dużą elektrociepłownię. Atak przypisano grupom APT powiązanym ze służbami specjalnymi Federacji Rosyjskiej i Białorusi, działającym w ramach długotrwałej presji hybrydowej na państwo frontowe wschodniej flanki NATO.

Incydent miał charakter systemowy — nie był pojedynczym atakiem na jedną spółkę, lecz zsynchronizowaną operacją wymierzoną w rozproszoną infrastrukturę OZE. Skala (30+ farm wiatrowych i fotowoltaicznych plus elektrociepłownia) oraz wybór sektora (generacja energii w okresie zimowym) świadczą o celu strategicznym: zakłócenie dostaw energii w krytycznym momencie sezonu grzewczego oraz test odporności polskiego miksu energetycznego.

Atak na sektor energii z grudnia 2025 r. jest najpoważniejszym incydentem destrukcyjnym opisanym w Sprawozdaniu Pełnomocnika za 2025 r. W tym samym okresie prorosyjskie grupy haktywistyczne przeprowadziły ataki DDoS o skali 1,3 Tbps na polską infrastrukturę finansową w trakcie wyborów prezydenckich. Sektor energii pozostaje pod stałą presją operacji hybrydowych.

Czym jest atak typu wiper

Wiper to kategoria złośliwego oprogramowania, którego celem nie jest szyfrowanie danych dla okupu (jak w ransomware) ani kradzież informacji (jak w spyware), lecz nieodwracalne zniszczenie danych, systemu plików lub wręcz infrastruktury sprzętowej (firmware). Wipery są charakterystycznym narzędziem działań państwowych o charakterze sabotażowym, ponieważ nie dają ofierze możliwości odzyskania systemu — różnica fundamentalna wobec ransomware, gdzie zapłata okupu (teoretycznie) umożliwia odzyskanie.

CechaRansomwareWiper
CelOkup za odszyfrowanie / niepublikowanie danychZniszczenie danych lub systemu
SprawcaZorganizowana cyberprzestępczość, CaaSSłużby specjalne, grupy APT
MotywacjaFinansowaPolityczna, sabotaż, działania hybrydowe
OdzyskanieKopie zapasowe offline lub okupTylko kopie zapasowe offline
Czas na reakcjęOd minut do godzin (przed szyfrowaniem)Często sekundy — wiper działa lawinowo

Historycznie wipery używane były m.in. w atakach NotPetya (2017, skoordynowany atak na Ukrainę z efektem ubocznym globalnym), Shamoon (2012, Saudi Aramco), a także w serii ataków wymierzonych w ukraińską infrastrukturę po 2022 r. (WhisperGate, HermeticWiper, CaddyWiper). Atak na polskie farmy OZE z grudnia 2025 r. wpisuje się w ten wzorzec: cel państwowy, destrukcja bez żądań, synchronizacja wielu punktów uderzenia.

Wektor: łańcuch dostaw i routery SOHO

Sprawozdanie wskazuje, że najpoważniejsze ataki na infrastrukturę krytyczną w 2025 r. wykorzystywały dwa dominujące wektory: kompromitację łańcucha dostaw (zewnętrzni serwisanci, dostawcy IT/OT) oraz podatne, domowe routery brzegowe (urządzenia SOHO) jako infrastrukturę anonimizacyjną.

  1. Kompromitacja kontraktora IT/OT — atakujący włamywali się do słabiej zabezpieczonych firm serwisowych obsługujących wiele podmiotów energetycznych; kompromitacja jednego dostawcy dawała dostęp do środowisk dziesiątek klientów jednocześnie.
  2. Routery SOHO jako węzły anonimizacji — adwersarze przejmowali nieaktualizowane routery domowe i prowadzili z nich ataki, co utrudniało atrybucję; ta technika jest typowa dla grup APT powiązanych z GRU (Sandworm).
  3. Wykorzystanie zaufanych relacji — atakujący podszywali się pod serwisanta lub wykorzystywali legalne zdalne dostępy (VPN, TeamViewer); brak segmentacji między siecią biurową a OT ułatwiał eskalację.
  4. Eksploatacja urządzeń brzegowych bez wsparcia — w wielu farmach wiatrowych i fotowoltaicznych działają systemy SCADA oraz urządzenia bez aktywnego wsparcia producenta, co czyni je bezbronnymi wobec znanych podatności.
Sprawozdanie wskazuje jako środki zaradcze: identyfikację dostawców krytycznych, klauzule bezpieczeństwa w umowach, audyty łańcucha dostaw, weryfikację personelu serwisowego oraz inwentaryzację podpiętych urządzeń — wszystko to zgodne z wymogami art. 8 UKSC w zakresie zarządzania ryzykiem łańcucha dostaw.

Konsekwencje systemowe

Bezpośrednie konsekwencje ataku grudniowego nie zostały publicznie ujawnione w pełni (część informacji trafiła do załącznika niejawnego Sprawozdania). Jednak Sprawozdanie wyciąga konsekwencje systemowe istotne dla wszystkich podmiotów sektora energii pod KSC:

  • Sektor OZE — dotychczas traktowany jako rozproszony i odporny z definicji — okazał się celem priorytetowym operacji hybrydowych, a rozproszenie geograficzne nie chroni przed skoordynowaną kampanią.
  • Krytyczne stają się urządzenia pochodzące od dostawców spoza UE — Sprawozdanie wskazuje ograniczoną możliwość weryfikacji bezpieczeństwa sprzętu OZE importowanego spoza UE jako systemowe ryzyko.
  • Odporność fizyczna i cybernetyczna są nierozłączne — doświadczenia z powodzi wrześniowej 2025 r. plus atak grudniowy pokazują, że ciągłość działania musi obejmować zarówno ryzyka klimatyczne, jak i cyfrowe.
  • Sprawozdanie rekomenduje utworzenie dedykowanego CSIRT sektora energii (obok planowanego CSIRT Infrastruktura i CSIRT Cyfra), który zapewni reagowanie specjalistyczne na incydenty w OT i SCADA.

Obowiązki sektora energii pod KSC

Sektor energetyki jest wymieniony w załączniku nr 1 do UKSC jako sektor kluczowy. Oznacza to, że operatorzy systemów przesyłowych i dystrybucyjnych, wytwórcy energii (w tym farmy wiatrowe i fotowoltaiczne powyżej progu mocy), operatorzy magazynów energii oraz przedsiębiorstwa ciepłownicze podlegają rygorystycznym wymogom SZBI oraz statusowi podmiotu kluczowego (dla dużych przedsiębiorców) lub ważnego (dla średnich).

  1. Zarządzanie ryzykiem łańcucha dostaw (art. 8 UKSC) — identyfikacja dostawców krytycznych (produkcja, utrzymanie, serwis SCADA/OT), klauzule bezpieczeństwa w umowach, audyty dostawców, ograniczanie zależności od dostawców wysokiego ryzyka.
  2. Segmentacja sieci IT/OT — rozdzielenie sieci biurowej od sieci technologicznej (SCADA, PLC, RTU), stosowanie diod danych dla przepływu jednokierunkowego tam, gdzie to możliwe, strefy DMZ dla komunikacji z kontrahentami.
  3. Plan ciągłości działania i odtwarzania (BCP/DRP) — procedury awaryjne dla utraty systemów SCADA, alternatywne kanały sterowania (ręczne, lokalne), regularne testy odtwarzania, kopie zapasowe konfiguracji urządzeń OT.
  4. Monitoring OT i detekcja anomalii — systemy klasy IDS/IPS dedykowane dla protokołów przemysłowych (Modbus, IEC 60870-5-104, DNP3), integracja z SOC 24/7.
  5. Raportowanie incydentów — 24h na zgłoszenie wstępne (incydent poważny), 72h na zgłoszenie szczegółowe do CSIRT właściwego (GOV dla administracji, NASK dla większości OUK, docelowy CSIRT Energia).
  6. Audyt bezpieczeństwa (art. 15 UKSC) — obowiązkowy dla podmiotów kluczowych co najmniej raz na 3 lata; zakres obejmuje zarówno IT, jak i OT.
Sektor energii podlega dodatkowo rozporządzeniom wykonawczym do UKSC oraz dyrektywie CER (odporność podmiotów krytycznych). Dla operatorów i producentów energii audyt łańcucha dostaw oraz weryfikacja dostawców wysokiego ryzyka stają się obowiązkowe, a decyzja Komisji ds. Oceny Ryzyka może wymusić wycofanie konkretnego dostawcy z infrastruktury krytycznej.
FAQ4 pytania

Najczęstsze pytania

Co to jest atak typu wiper i czym różni się od ransomware?
Wiper to złośliwe oprogramowanie, którego celem jest nieodwracalne zniszczenie danych lub systemu — bez żądania okupu. W odróżnieniu od ransomware, gdzie zapłata teoretycznie umożliwia odszyfrowanie, wiper nie daje ofierze żadnej opcji odzyskania (poza kopiami zapasowymi offline). Wipery są typowym narzędziem służb specjalnych i grup APT w operacjach sabotażowych. Przykłady: NotPetya (2017), HermeticWiper (2022), atak na polskie farmy OZE (grudzień 2025).
Dlaczego grupy APT atakują polską energetykę odnawialną?
Polska jako państwo frontowe wschodniej flanki NATO i główny węzeł logistyczny wspierający Ukrainę jest celem długotrwałej kampanii hybrydowej. Sektor OZE jest atrakcyjnym celem, bo: (1) stanowi rosnący udział w miksie energetycznym, (2) farmy są rozproszone, co utrudnia jednolite zabezpieczenie, (3) wiele instalacji wykorzystuje sprzęt spoza UE o ograniczonej możliwości audytu, (4) atak zimowy maksymalizuje efekt społeczny. Sprawozdanie Pełnomocnika 2025 wskazuje atak grudniowy jako najpoważniejszy incydent destrukcyjny roku.
Jakie obowiązki KSC ma farma wiatrowa lub fotowoltaiczna?
Farma OZE powyżej progu mocy (zgodnie z zał. nr 1 UKSC — sektor energetyki) jest podmiotem kluczowym (dla dużego przedsiębiorcy, ≥250 prac. lub obrót > 50 mln EUR) lub ważnym (średni). Obowiązki: rejestracja w wykazie S46 do 3.10.2026 r., wdrożenie SZBI (art. 8), zarządzanie ryzykiem łańcucha dostaw, raportowanie incydentów (24h/72h), szkolenia zarządu (art. 10), audyt co 3 lata dla podmiotu kluczowego (art. 15). Dodatkowo stosuje się dyrektywa CER i rozporządzenia wykonawcze dotyczące OT.
Jak zabezpieczyć routery i urządzenia brzegowe przed wykorzystaniem w atakach APT?
Sprawozdanie 2025 wskazuje routery SOHO jako najczęstszą infrastrukturę anonimizacyjną APT. Zalecenia: (1) inwentaryzacja wszystkich urządzeń brzegowych (routery, firewalle, VPN concentrators), (2) aktualizacja firmware i wyłączenie domyślnych haseł, (3) wymiana urządzeń bez wsparcia producenta, (4) segmentacja — urządzenia SOHO nie powinny mieć dostępu do sieci OT/produkcyjnej, (5) monitoring ruchu wychodzącego (Threat Intelligence, detekcja C2), (6) dla podmiotów KSC: klauzule w umowach z pracownikami zdalnymi dotyczące sprzętu domowego z dostępem do zasobów firmowych.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.